Mikrotik
VPN
Консоль
Очистка истории команд
console clear-history
Скрипты
Разное
Ссылки по теме
Вывод списка VPN учеток с комментарием
:foreach i in=[/ppp secret find ] do={:put ([/ppp secret get $i name] . "; " . [/ppp secret get $i comment])};
:resolve example.com :pick <str> <start> <end> :len <str> :find <str> <tofind> :for <str> from=0 to=10 do={ } :foreach <str> in=[/ip arp find] do={$cmd } :do :while OR :while :do :set arraytest {“a”;”b”;”c”;”d”} :put ($arraytest->3) [/ip arp find address~"^192"]
Пример удаления параметра dst-address из правила фильтра
/ip firewall filter [find comment="MyRule"] unset dst-address
Глобальные переменные
Для видимости глобальной переменной в запускаемом скрипте, скрипту необходимо право policy
# создание глобальной переменной :global myVar 0; # удаление глобальной переменной :global myVar $nil; # вывод списка определенных глобальных переменных :environment print # определение типа данных :put [:typeof $myVar];
Резервирование
Сетевая авторизация
- Dot1X - с версии 6.45 доступна новая система сетевой авторизации Dot1X, позволяет привязать VLAN к группе пользователей AD
QoS (Quality of Service)
Обзор
Ссылки по теме
- Queues в RouterOS: Simple Queues MikroTik (часть 1)
- Queues в RouterOS: Queue Tree MikroTik (часть 2)
- https://wiki.mikrotik.com/wiki/Manual:Queue_Size
- https://www.technotrade.com.ua/Articles/shaping_basics_in_mikrotik_2013-07-29.php
- MikroTik QoS — развенчание мифов
Термины
- FIFO (First Input First Output)
Типы очередей
Виды очередей (kind)
- none (нет алгоритма управления очередью, используются только аппаратные возможности)
- pfifo (packet FIFO) FIFO на уровне пакетов, один буфер на все потоки
- bfifo (byte FIFO) FIFO на уровне байтов, один буфер на все потоки
- mq-pfifo (multi queue packet FIFO) FIFO на уровне пакетов, отдельный буфер под каждый поток
- red (random early drop) определяется верхний и нижний лимит очереди, пакеты отбрасываются при превышении верхнего предела и с заданной вероятностью в интервале между нижним и верхним пределом.
- sfq (stochastic fairness queuing) хеш функция распределяет все потоки на 1024 очередей, очереди обрабатываются по Round Robin по одному пакету за раз
- pcq (per-connection queuing) расширенный вариант sfq
Очереди типа FIFO не рекомендуется использовать на высоко нагруженных каналах. Если буфер переполняется, то пакеты отбрасываются. Чем выше буфер, тем выше задержка.
sfq можно обмануть, если процесс будет создавать множество сессий, то получит приоритет по трафику по отношению к другим.
Тип очереди (Queue Type) - это заданный вид очереди с определенными для него параметрами.
В Router OS есть предварительно созданный набор типов очередей, при этом их параметры можно менять. Можно также создавать свои типы очередей.
Текущий список типов очередей
/queue type print
Принципы ограничения скорости
- Ограничение (при превышении лимита пакеты отбрасываются, буфер не требуется), необходимо использовать для трафика чувствительного к задержкам
- Выравнивание (при превышении лимита пакеты сохраняются в буфер и задерживаются)
Настройка
CIR (Commited Information Rate) - гарантированная скорость (limit-at) MIR (Maximum Information Rate) - максимальная скорость (max-limit)
Параметры простой очереди (Simple Queue)
- target - источник {подсеть | интерфейс}
- dst - назначение {подсеть | интерфейс}
- max-limit = upload / download
- limit-at = upload / download
Firewall
Ограничение доступов по MAC адресам
Ссылки по теме:
Предоставление доступа по MAC адресам
- На каждый MAC создаем отдельное правило в (IP/Firewall/Mangle), chain - prerouting, условие (In Interface, Advanced/src. MAC address), действие добавление в Address List на заданный интервал времени (например 60 сек.)
- Разрешаем списку IP, то что нужно
Список будет формироваться и очищаться динамически, а доступ предоставляться по списку.
Можно проще, создать нужное количество правил Firewall, под каждый src-MAC, но это хуже в плане производительности.
Лицензирование CHR
Ссылки по теме
Типы лицензий
* Free (ограничение 1Мбит/с) * Trial (нет ограничения по скорости) (60 дней) * P1 (ограничение 1Гбит/с) 45$ * P10 (ограничение 10Гбит/с) 95$ * P-Unlimited (нет ограничения по скорости) 250$
После установки CHR запускается с лицензией Free. Чтобы перейти на Trial необходимо зарегистрироваться на сайте mikrotik.com и запросить триал, указав System ID
вашего CHR (см. /system license
). После обновления Trial лицензии на платную, необходимо вручную выполнить [Renew License] на CHR, при этом потребуется ввести учетные данные вашей регистрации на сайте. Если это не сделать до истечения срока Trial, то придется переустанавливать CHR, запрашивать новый Trial для нового System ID
, после чего обновлять на платную лицензию.
Купленную лицензию можно переносить на другой System ID
, кнопка [Transfer] в личном кабинете.
Платные лицензии не ограничены сроком, но они имеют период обновления лицензии (нужно уточнять какой).
В меню "/system license "маршрутизатор указывает время следующего обновления, когда он попытается связаться с сервером, расположенным на licence.mikrotik.com. Попытки связи будут выполняться один раз в час после даты следующего обновления и не прекратятся до тех пор, пока сервер не ответит ошибкой. Если дата крайнего срока достигнута без успешного обращения к серверу учетных записей, маршрутизатор сочтет, что срок действия лицензии истек, и запретит дальнейшие обновления программного обеспечения. Однако маршрутизатор продолжит работу с тем же уровнем лицензий, что и ранее.
Известные проблемы
Проблема с подключением по ssh
Putty сообщает, что не может обменяться ключами, ошибка 3.
Клиент ssh в Linux сообщает
Received disconnect from 192.168.0.1 port 22:3:
Причина:
На устройстве записан не корректный ключ ssh
Решение:
Войдите через winbox и пересоздайте ключ ssh
/ip ssh regenerate-host-key